Home > 전체기사

미국 정부 기관들과 파이어아이, 솔라윈즈 공급망 공격에 당했다

  |  입력 : 2020-12-15 12:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 국가 기관과 포춘 500대 기업들 대다수에서 사용되는 네트워크 솔루션
업데이트 파일을 무조건적으로 신뢰하는 것이 빈틈이 돼...대단위 공격 벌일 수 있어
솔라윈즈 침해는 네트워크 지도를 손에 쥐는 것과 같아...오피스 365으로 이어져


[보안뉴스 문가용 기자] IT 역사상 최악으로 손꼽힐만한 공급망 공격이 드러났다. 배후에는 국가가 지원하는 해킹 단체가 있을 가능성이 농후해 보인다. 이 공급망 공격에 연루된 건 솔라윈즈(SolarWinds)라는 기업의 솔루션들로, 공격자들은 솔라윈즈 업데이트에 멀웨어를 삽입하여 결과적으로 솔라윈즈의 고객사들에 침투하는 데 성공한 것으로 밝혀졌다. 솔라윈즈는 다양한 정부 기관과 포춘 500대 기업들을 고객으로 두고 있다.

[이미지 = utoimage]


조사 결과 악성 소프트웨어 업데이트를 다운로드 받았을 가능성이 높은 솔라윈즈 고객은 전체 30만 개소 가운데 3만 3천여 곳에 달하는 것으로 밝혀졌다. 여기에는 미국 연방 정부 기관 다수와 포춘 500대 기업 중 499곳, 보안 대행 서비스 제공 업체 2만 2천여 곳이 포함되어 있는 것으로 분석됐다. 이 중 실제로 업데이트를 설치했을 가능성이 높은 곳은 1만 8천여 개 조직이라고 한다.

솔라윈즈가 미국 증권거래소에 제출한 서류에 의하면 공격자들은 솔라윈즈의 이메일을 침해해 침투한 것으로 보인다고 한다. 이메일 시스템을 먼저 침해하고, 거기서부터 마이크로소프트 오피스 365 환경에 침투하기 위한 각종 데이터를 수집해 활용한 것이라고 솔라윈즈 측은 분석했다. 이 공급망 공격에 당한 건 미국 재무부와 상무부, 보안 업체 파이어아이(FireEye) 등인 것으로 파악됐다.

이에 미국 국토안보부 산하 사이버 보안 담당 기관인 CISA는 지난 주말 솔라윈즈에서 만든 오리온(Orion) 제품군을 즉각 중지시키고 네트워크에서 분리하라는 긴급 명령을 연방 민간 기관들에 내렸다. 조치 내용을 동부 표준 시간으로 월요일 정오까지 보고하라는 내용도 있었다.

솔라윈즈는 별도의 보안 권고문을 통해 오리온 플랫폼즈(Orion Platforms) 소프트웨어 빌드 2019.4 HF 5 버전에서부터 2020.1.1 버전(올해 3~6월 사이에 출시된 모든 버전)이 이번 사건에 영향을 받았다고 발표했다. 2020년 12월 15일 핫픽스가 공개될 예정이라고 하며, 즉각적인 조치를 취하기가 어려운 사용자들을 위한 긴급 대처 방안(오리온 플랫폼을 방화벽 뒤편에 설치하고, 인터넷 접근 기능을 비활성화시키는 것)도 마련할 것이라고 한다.

보안 업체 룩아웃(Lookout)의 수석 솔루션 관리자인 행크 슐레스(Hank Schless)는 “널리 사용되고 있으며 사용자 층도 넓고 정상적인 소프트웨어의 업데이트 과정을 감염시키는 건 멀웨어를 대량 살포하는 데 있어 대단히 효과적인 방법”이라고 설명한다. “성공하는 게 어려워서 그렇지, 한 번 성공하면 한 산업 전체를 한 번에 감염시킬 수도 있는 파괴적인 공격법입니다.”

사용된 멀웨어는 ‘선버스트’
보안 업체이자 이번 사건의 피해자이기도 한 파이어아이는 이미 지난 주부터 이 공격과 관련된 내용을 계속해서 공개 및 업데이트 하고 있다. 파이어아이는 공격의 배후 세력으로 UNC2452라는 단체를 꼽고 있으며, 선버스트(SUNBURST)라는 멀웨어를 솔라윈즈 소프트웨어 업데이트를 통해 퍼트리고 있다고 주장했다.

파이어아이의 수석 멀웨어 분석가인 벤 리드(Ben Read)는 UNC2452에 대해 “현 시점에서는 다른 어떤 공격 단체와도 관련되어 있지 않은 독립적인 공격 단체”라고 설명하며 “선버스트의 경우는 HTTP를 통해 공격자의 서버와 통신하는 기능을 가지고 있는 백도어”라고 묘사했다. “감염된 솔라윈즈 업데이트를 설치하고 나면 선버스트는 최대 2주 동안 잠을 잡니다. 아무런 활동도 없이 시간을 보내다가 갑자기 정보를 수집하고 명령을 공격자들의 서버로부터 받습니다.”

또한 선버스트는 자신이 발생시키는 네트워크 트래픽을 오리온 향상 프로그램(Orion Improvement Program) 프로토콜인 것처럼 위장할 수 있으며, 정찰 활동으로 수집한 내용을 정상 플러그인 환경설정 파일에 저장함으로써 정상적인 솔라윈즈 활동에 녹아들 수 있도록 한다고 한다. “그 외에도 선버스트는 여러 가지 기술을 사용해 백신가 멀웨어 탐지 솔루션들도 찾아낼 수 있습니다.”

파이어아이의 CEO인 케빈 맨디아(Kevin Mandia)는 공급망 공격을 통해 선버스트를 퍼트리는 이번 캠페인이 고차원적인 기술을 가진 국가 지원 해커의 소행일 가능성이 높다고 주장했었다. 일부 매체와 보안 전문가들은 러시아의 첩보 기관들을 지목하기도 했다. 맨디아는 블로그를 통해 “공격자들이 상당히 오랜 시간 피해자의 네트워크를 관찰하고, 이를 통해 정상 트래픽의 자신들의 활동을 녹여내는 방법을 터득한 것으로 보인다”고 설명했다.

어떻게 침투했을까? 아직은 가설이지만
보안 업체 벡트라(Vectra)의 맷 웜즐리(Matt Walmsley)는 “공격자들이 ‘싱글사인온’에 사용되는 SAML(Security Assertion Mark-up Language) 인증 토큰을 조작해 권한을 높였을 가능성이 있어 보인다”는 의견이다. 높아진 권한을 가지고 솔라윈즈의 마이크로소프트 365 인스턴스로 접근하는 데 성공했고, 이를 통해 새로운 계정(높은 권한을 가진)을 만들어 이메일 전달 및 라우팅 규칙을 수정해 정찰을 시작했을 거라는 뜻이다. “거기서부터 셰어포인트와 원드라이브 등의 데이터를 수집했을 거라고 봅니다.”

웜즐리는 “IT 및 보안 담당자들은 정상적으로 업무를 수행하기 위해 권한이 높은 계정을 가지고 있을 수밖에 없는데, 이들이 즐겨 사용하는 소프트웨어 도구의 공급망을 공격하는 것에 성공한다는 건 사실상 피해자 네트워크에서 온갖 행위를 할 수 있게 된다는 뜻”이라고 덧붙였다.

보안 전문가들은 오래 전부터 공급망 공격에 대해 경고해 왔다. 특히 보안 패치나 업그레이드 파일이 제조사로부터 건너올 때 이를 무조건적으로 신뢰하는 경향이 있다는 부분이 예전부터 지적되어 왔다. 업데이트 파일을 점검하고 적용하는 기업들은 실제로 거의 없는 게 현실이기도 하다.

보안 업체 안주나 시큐리티(Anjuna Security)의 CEO 아얄 요게브(Ayal Yogev)는 “공격자들이 솔라윈즈의 오리온 플랫폼을 겨냥했다는 것 자체가 심각한 일”이라고 지적한다. 왜냐하면 솔라윈즈의 솔루션을 사용하는 국가 기관과 대기업들이 너무나 많기 때문이다. “네트워크 관리자들이라면 솔라윈즈 솔루션을 구매 목록에 올려놓지 않는 사람이 거의 없을 겁니다. 그만큼 사용자가 많고 다양한데, 그게 어느 정도냐면 ‘우리 회사에 솔라윈즈 솔루션이 설치되어 있다’는 것을 인지 못하고 있을 정도입니다. 그러니 이번 사태가 더더욱 위험한 것이죠. 자신들이 감염되었다는 것조차 모르고 있을 가능성이 높습니다.”

그나마 다행이라면 솔라윈즈에 기밀이나 민감한 정보가 곧바로 저장되지는 않는다는 것이다. “다만 솔라윈즈가 네트워크 모니터링 솔루션이기 때문에, 이를 침해하는 데 성공하면 네트워크의 지도가 공격자의 손에 쥐어지는 것과 같다는 게 문제입니다. 이번 사태도 이 지도를 공격자가 확보한 것에서부터 더 발전되어 나아갈 것이고요. 지금까지 밝혀진 건 빙산의 일각일 뿐입니다. 앞으로 더 많은 피해자들이 속속 나올 겁니다.”

4줄 요약
1. 미국 재무부와 상무부, 파이어아이 공격했던 자들, 솔라윈즈의 공급망 감염시켰음.
2. 솔라윈즈는 수많은 국가 기관과 포춘 500대 기업들을 고객으로 두고 있음.
3. 솔라윈즈의 업데이트를 감염시켜 선버스트라는 멀웨어를 유포한 공격자들, 이 멀웨어 통해 각종 정보 빼내고 감시 활동 할 수 있었음.
4. 고객 목록을 보았을 때, 앞으로 더 많은 피해자 발굴될 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화